フィッシングサイトの仕組みを知ることで、フィッシング詐欺を理解する

みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして活動しています。

この記事ではフィッシング詐欺がどのように行われているのか、フィッシングサイトがどのような仕組みで動作しているのか、注意喚起を兼ねて紹介します。

ぜひ最後まで読んでみてください。

• フィッシング詐欺について
• フィッシング詐欺がどのように行われているのか
• フィッシングサイトがどのように構築されているのか
• フィッシングサイトがどのように動作しているのか
  • どんな情報を窃取しているのか
  • 窃取した情報はどこに送られるのか
  • 相手の情報を収集・判別する
  • 窃取したクレジットカード番号が有効であるか確認する
• フィッシング詐欺に引っかかるとどうなるのか
• フィッシング詐欺を減らすための取り組み
  • マラソン型の撲滅イベント開催
  • 国内カード会社等による共同の取り組み
  • フィッシングハンターたちによるSNS投稿
• 被害に遭わないようにするには
  • 被害に合わないための手段(例)まとめ
• さいごに

フィッシング詐欺について

フィッシング(Phishing)詐欺とは、メール等から本物そっくりの偽サイトへ誘導し、IDやパスワードを入力させて情報を盗み取る詐欺の手口です。 年々フィッシング詐欺による被害が増加し続けています。

特に、3月下旬あたりから証券会社を騙ったフィッシングメールや投資詐欺メールが大量に出回っており、各所で注意喚起を出しています。

• 証券会社口座 不正アクセス被害相次ぐ フィッシング詐欺に注意
• フィッシング詐欺（証券会社を装う偽サイトへの電子メール等での誘導）にご注意ください

NA4Secでも証券会社を騙ったフィッシングサイトを観測しています。

🚨⚡ #Phishing #フィッシング詐欺 (🇯🇵)

Brand:#野村證券

IP:
🌍 103.112.211[.]228 (ASN:AS150855)

URL:
🎣 hxxps://mehhkapradwwoesi.qcwb76.com/
🎣 hxxps://vasoconstrictio.qcmky6r.com/
🎣 hxxps://xeroththaamiahl.qcw5htg.com/
🎣 hxxps://yesterdaynessrr.mkca0.com/

H/T to Team NA4Sec pic.twitter.com/IRX3oaBsEH

— Metemcyber (@Metemcyber) 2025年4月4日

🚨⚡ #Phishing #フィッシング詐欺 (🇯🇵)

Brand:#Rakuten #楽天 #楽天証券

IP:
🌍 47.83.189[.]115 (ASN:AS45102)

URL:
🎣 hxxps://217564.top/oeugef/
🎣 hxxps://255711.top/oeugef/
🎣 hxxps://363342.top/oeugef/
🎣 hxxps://368226.top/oeugef/

H/T to Team NA4Sec pic.twitter.com/jIdn9xbMnP

— Metemcyber (@Metemcyber) 2025年4月11日

フィッシング詐欺がどのように行われているのか

おおまかに以下の流れでフィッシング詐欺が実行されます。

• フィッシングサイトを構築するなど準備する
• 偽のメールやSMSを送信する
• 実行し、個人情報などを窃取する
• 窃取した情報で収益を上げる

近年ではサイバー犯罪の分業化が進んでおり、上記の画像で説明したような段階それぞれにおいて、以下のように役割を分けて犯罪者達が暗躍しています。

• フィッシング詐欺に使うツールやサービスを提供する人
• フィッシング詐欺を実際にする人
• 窃取したクレジットカード情報の販売をする人
• etc.

この記事ではフィッシング詐欺に使うツールがどのように構築・提供されているのかについて、実際の例を元に紹介していきます。

フィッシングサイトがどのように構築されているのか

フィッシング詐欺に関わっている犯罪者全員が技術的に長けているわけではありません。 何より、一からフィッシングサイトを作成するのは手間がかかります。

なので、犯罪者コミュニティには、フィッシング詐欺を支援する以下のようなツールやサービスが提供されています。

• 買い切り型のフィッシングサイト構築ツール(フィッシングキット)
• サブスク型のインフラやツール一式を提供するサービス(Phishing as a Service)
• etc.

これらを利用することで、フィッシング詐欺をするための技術的なハードルを下げることができます。

例えば以下の画像では、あるPhishing as a Serviceがサブスク型/買い切り型のそれぞれで提供されていることがわかります。

• 週租 → 週単位
• 月租 → 月単位
• 永久买断 → 買い切り

※Uは仮想通貨のUSDTを指す。

フィッシングサイトがどのように動作しているのか

フィッシングサイトがどのように動作して、どのような機能が搭載されているのか、実際のフィッシングキット(フィッシングサイト構築ツール)を解析して紹介します。

今回のフィッシングキットはzipファイルになっており、展開するとさまざまなファイルが入っています。

どんな情報を窃取しているのか

今回紹介するフィッシングキットは、日本のネット銀行のサイトを騙っています。 ログインの要求をしたり、本人確認と騙ってクレジットカードの情報を入力させること等を通して以下の情報を窃取しています。

• ログインID・ログインパスワード
• 生年月日・取引パスワード
• クレジットカード番号・セキュリティコード
• メールトークン

窃取した情報はどこに送られるのか

このフィッシングキットには管理者パネルが搭載されており、窃取した情報の一覧を確認できます。

• DEVICE INFO → IPアドレス・場所・ユーザーエージェント
• LOGIN → ログインID・ログインパスワード
• AUTH → 生年月日・取引パスワード
• INFORMATION CARD → クレジットカードの番号・セキュリティコード
• CODE EMAIL → メールトークン
• LOG → どのページを表示したか
• ACTION → 現状のステータス

また、このフィッシングキットでは画面遷移をするたびに、Telegramに窃取した情報を送信しています。

下の画像は、ログインID・ログインパスワードを窃取した際に、管理者パネルとTelegramへ送信している箇所になります。

相手の情報を収集・判別する

フィッシングサイトには相手の情報を収集する機能が搭載されており、相手の情報を収集することで、以下のようなことが可能になります。

• ターゲットの使用環境に合わせて、適したコンテンツを表示できる
• 専門家などの分析を回避できる

このフィッシングキットでは、以下の情報を収集しています。

• 使用しているOS・ブラウザ(ユーザーエージェントから取得)
• IPアドレス
• ホスト名
• どこの国からアクセスしているか

これらの情報を使って、攻撃者が想定しているターゲットか確認し、想定しているターゲットであればフィッシングサイトを表示します。 どのように判別しているのか一部紹介します。

例えば、このフィッシングキットは日本人をターゲットにしているので、ターゲットのIPアドレスを外部のサービス(ip-api.com)に問い合わせ、国識別コードが「JP」であるか確認しています。

専門家からのアクセスを防ぐため、上記で収集したIPアドレスを利用します。 事前に作成したリストのIPアドレスに一致した際、アクセスのブロックを行います。

なお、こちらのリストにあるIPアドレスには、ホスティングやプロキシ・VPNなど一般の人は利用しないものが含まれています。

窃取したクレジットカード番号が有効であるか確認する

このフィッシングキットには、窃取したクレジットカード番号について有効であるか確認する機能が搭載されています。

下の画像では、クレジットカード番号が有効であるか確認したり、外部サービス(binlist.net)を使ってBINコードの情報を取得しています。

フィッシング詐欺に引っかかるとどうなるのか

フィッシング詐欺に引っかかり、ログイン情報やクレジットカード等の個人情報を入力してしまうと、それらの情報が悪用されてしまいます。

以下のようなことになる可能性があります。

• 窃取した情報を販売して他の攻撃者の手に渡る
• メールアカウントが乗っ取られ、メールボックスの中身を見られる
• SNSアカウントが乗っ取られ、なりすまされる
• 銀行口座やクレジットカードを悪用される
• etc.

フィッシング詐欺を減らすための取り組み

フィッシング詐欺を減らすために、各所でさまざまな取り組みが行われています。 ほんの一例を紹介します。

マラソン型の撲滅イベント開催

「フィッシングサイト撲滅チャレンジマラソン」というイベントがJC3により開催されました。 フィッシングサイトのAbuse報告数やテイクダウン数をマラソンのように競い合うイベントになっています。 専用のツールを使っているため、参加するためのハードルが低くなっています。

• フィッシングサイト撲滅チャレンジマラソン開催

国内カード会社等による共同の取り組み

日本クレジットカード協会と国内のクレジットカード会社、フィッシングサイト検知サービスを提供している会社が、共同でフィッシングサイトを閉鎖する取り組みを始めています。

• 国内カード会社8社とACSiONと共同でフィッシングサイト閉鎖の取組を開始しました。

フィッシングハンターたちによるSNS投稿

SNSには、フィッシング詐欺についての情報発信をしている人たちがいます。 「#Phishing」「#フィッシング詐欺」などで検索すると、情報発信をしている様子がわかります。

フィッシングハンターについては、以下の資料で紹介されています。(52ページ参照)

• サイバーセキュリティ仕事ファイル～みんなが知らない仕事のいろいろ～

被害に遭わないようにするには

ここ最近のフィッシングメールは不自然なところが少なくなっており、本物か偽物かの判断が難しくなっています。 文面だけでなく、メールやSMSに貼られたリンクも巧妙に偽装されている場合があります。 実際のものに酷似したURLや、表示と実際のリンク先で異なる場合があるため、これを見分けようとすると間違った判断をしてしまう可能性があります。

なので、見分けなくても済む手段で確認することをお勧めします。 また、IDとパスワードだけでログインできる状態にしないことも重要です。

被害に合わないための手段(例)まとめ

• 公式が提供しているアプリから確認する
• 普段使うサイトをブックマークに保存し、そこから確認する
• ID/パスワード以外の追加認証設定が可能な場合にはそちらを設定する（特にパスキーなどフィッシング耐性があるとされる方式を推奨）

サービス提供者側も「フィッシング耐性のある認証」を提供することが望まれます。

さいごに

フィッシング詐欺に限らずサイバー犯罪の分業化が進んでおり、犯罪に関わる人すべてを逮捕することが難しくなっています。 そのため、犯罪者を逮捕するだけでなく、1人1人がしっかり自衛する環境を作っていくことで、犯罪で利益を出しにくくすることが重要になります。 フィッシング詐欺について知ることで、被害を減らすヒントにつながるかもしれません。

本記事により、被害を受ける人を少しでも減らせるといいなと筆者は考えています。